Web サイトがユーザーにリンクの投稿を許可している場合、HTML のアンカー タグの「ターゲット」属性は Web サイトをフィッシング プラットフォームに変換します。
私たちは皆、ハイパーテキスト ドキュメントにハイパーリンクを提供するために HTML のアンカー タグを使用します。ただし、値「_blank」を指定してこの属性を特定の方法で使用すると、Web サイトが攻撃者の格好の標的になる可能性があります。
Web サイトが XSS に対して脆弱である場合、状況はさらに悪化します。
なぜ?
これは、既存のタブから参照によって新しいタブを開くと、ブラウザによって、この新しいタブが window.opener API を使用して参照元タブと通信することが許可されるためです。
仕組み:
ハイパーリンクを含む Web ページをコーディングし、次のように値 _blank を持つ target 属性を使用したと想像してください。
href="http//:www.yourwebsite.com/a_link" target="_blank"
ここで参照されているリンクにより、ユーザーは何らかの方法でこのページにリンクを貼ることができます。たとえば、Facebook では、Web サイトの Facebook ページに Web サイトへのリンクを配置できます。
次に、ユーザーは次のような悪意のあるスクリプトを含む自分の Web サイトへのリンクを配置する可能性があります。
window.opener.location('https:fakewebsite.com/fakepage');
リンクが新しいタブで開かれると、この悪意のあるコードはリファラー タブに読み込まれたリンクを変更します。攻撃者はログインを求める偽のページを作成し、最終的に認証情報を収集する可能性があります。
これを防ぐことはできますか?
もちろんできます。このコードをアンカー タグに配置すると、ページがフィッシングの対象として使用されるのを防ぐことができます。
rel="noopener"
セキュリティを危険にさらすほど怠惰な場合は、1 回限りの解決策をお勧めします。ダウンロードこれgithub からダウンロードし、このファイルを次のドキュメントのスクリプト ソースとして含めます。
さらに読みたい場合は、本文に従うことをお勧めします。このページ。
最後に、さらに質問がある場合は、コメント欄でお気軽にお問い合わせください。
